Scripting inter-site dans le composant Apache Struts utilisé dans IDENTIKEY Authentication Server

Avis ID vasco-sa-20151126-ias

Numéro de révision 1.0

Date de sortie 26 novembre 2015 14:10 UTC

Dernière mise à jour 26 novembre 2015 14:10 UTC

Résumé

Certaines versions d'Apache Struts sont affectées par une vulnérabilité de script inter-sites lorsque le mode débogage est activé ou lorsque les JSP sont exposés dans un environnement de production. Ces versions d'Apache Struts sont utilisées dans IDENTIKEY Authentication Server. Même si le mode débogage est désactivé, certains JSP sont directement accessibles sur le serveur IAS.

Produits touchés

  • IDENTIKEY (Virtual) Appliance versions 3.8 et plus tôt
  • IDENTIKEY Authentication Server versions 3.8 et plus tôt

Description

Le projet Apache Struts a annoncé en octobre 2015 que la version 2.0.0 d'Apache Struts jusqu'à la version 2.3.16.3 est affectée par une vulnérabilité de script inter-sites lorsque le mode débogage est activé ou lorsque les fichiers JSP sont exposés dans un environnement de production. Deux identificateurs CVE ont été attribués à ces vulnérabilités :

- CVE-2015-5169 : Apache Struts est vulnérable à une vulnérabilité de script inter-sites lorsque le mode débogage est activé. Un attaquant distant peut exploiter cette vulnérabilité à l'aide d'une URL spécialement conçue pour exécuter le script dans le navigateur Web d'une victime dans le contexte de sécurité du site Web d'hébergement, une fois l'URL cliqué.

- CVE-2015-2992 : Apache Struts est vulnérable à une vulnérabilité de script inter-sites lors de l'accès aux fichiers JSP directement. Un attaquant distant peut exploiter cette vulnérabilité à l'aide d'une URL spécialement conçue pour exécuter le script dans le navigateur Web d'une victime dans le contexte de sécurité du site Web d'hébergement, une fois l'URL cliqué. 

Vulnérabilité CVE-2015-5169 n'est pas applicable au service d'authentification IDENTIKEY puisque le mode débogage est désactivé par défaut.

Vulnérabilité CVE-2015-2992 est applicable puisqu'il existe certains fichiers JSP qui sont directement accessibles à l'aide d'un navigateur.

Score de gravité

Score de base CVSS: 4.3
Accès Vector

Complexité d'accès

Authentification Impact sur la confidentialité Impact sur l'intégrité Impact sur la disponibilité
réseau Médium Aucun Aucun qui aime bien Aucun

 

Corrections de produits

OneSpan corrigera ces vulnérabilités dans les prochaines versions suivantes :

  • IDENTIKEY (Virtuel) Appareil 3.9
  • Serveur d'authentification IDENTIKEY 3.9

Les clients peuvent protéger leur installation IAS en apportant une modification au fichier de configuration web.xml. Cette modification interdira l'accès direct aux JSP qui ne devraient pas être directement accessibles.

Afin de modifier la configuration, le rôle de configuration et de sécurité suivant doit être annexé au corps web-app dans le fichier de configuration web.xml :

Pas d'accès direct jSP

Non-JSP

/décorateurs /

/inclure/

/pages /

/assistants /

non-utilisateurs

N'attribuez pas aux utilisateurs ce rôle
non-utilisateurs

Emplacement

Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.

référence

- Apache Struts bulletin de sécurité S2-025 - https://struts.apache.org/docs/s2-025.html

- http://jvn.jp/en/jp/JVN88408929/index.html

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992

Avis de non-responsabilité juridique

BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.

🖨 script inter-site dans le composant Apache Struts utilisé dans IDENTIKEY Authentication Server